Citrix Virtual Apps-Desktops Policy Tasarımı
0

Bu yazımda sizlere Citrix Virtual Apps-Desktops ortamınızda uygulayabileceğiniz Policy tasarım yöntemleri hakkında bilgiler vereceğim.

Policy’ler, Citrix Virtual Apps and Desktops ortamlarını yapılandırmak için gerekli ince ayarları içeren ve bu ayarları kullanıcı, cihaz veya bağlantı türü kombinasyonlarına göre kontrol etmenize olanak tanıyan ayarlar bütünüdür.

Bir Citrix ortamında Policy dağıtım yöntemine ve uygulanacak ayarlara karar verirken hem Microsoft hem de Citrix Policy’lerini kullanıcı deneyimi, güvenlik ve optimizasyon ayarlarını içerecek şekilde göz önünde bulundurun.

Policy Dağıtım Metodolojisi

Kuruluşlar Citrix ayarlarını Citrix Studio  veya Active Directory Group Policy Management aracılığıyla yapılandırabilir. Citrix Studio ile Policy dağıtımı, Policies menüsünde bulunan ayarlar ile yapılandırılırken, Active Directory Group Policy Management  ekranında, grup ilkesini genişleten ve gelişmiş filtreleme mekanizmaları sağlayan Citrix ADMX dosyaları kullanılır.

Active Directory Group Policy Management’ın kullanılması, kuruluşların hem Windows hem de Citrix Policy’leri aynı ekran üzerinden yönetmelerine olanak tanır ve Policy yönetimi için gereken yönetim araçlarını en aza indirir. Citrix yöneticilerinin Active Directory Policy bölümüne erişimi yoksa Citrix Studio konsolunu kullanabilirler.

Policy’ler oluşturulurken, Policy öncelik sırasının ve nasıl oluşturulduğunun bilinmesi oldukça önemlidir. Active Directory ve Citrix ilkelerinde öncelik aşağıdaki gibidir:

Öncelik Sıralaması

  1. Local machine policies
  2. Citrix Studio Policies
  3. Site level AD policies
  4. Domain level AD policies
  5. Highest level OU in the domain
  6. Subsequent level OU in the domain
  7. Lowest level OU containing the object

Her düzeyden gelen Policy’ler, kullanıcıya veya bilgisayara uygulanan son bir Policy halinde toplanır. Çoğu kurumsal dağıtımda, Citrix yöneticilerinin, genellikle en yüksek öncelik düzeyi olan belirli OU’larının dışındaki Policy’leri değiştirme izinleri yoktur. İstisnalar gerekli olduğunda, OU ağacının üst düzeylerinden hangi Policy ayarlarının uygulanacağını yönetmek için “block inheritance” ve “no override” ayarlarını kullanın.

Block Inheritance, üst düzey OU’lardan (daha düşük öncelikli) gelen ayarların Policy’e dahil edilmesini durdurur. Bununla birlikte, No Override ayarı olmadan daha yüksek seviyeli bir OU ilkesini yapılandırırken, Block Inheritance ayarı uygulanmaz. Bu nedenle politika planlamasında dikkatli olunmalıdır.

Policy Entegrasyonu

Policy’leri yapılandırırken, kuruluşlar genellikle tamamen yapılandırılmış bir ortam oluşturmak için hem Active Directory hem de Citrix Policy’lerine ihtiyaç duyar. Her iki Policy setinin kullanılmasıyla, ortaya çıkan Policy setini belirlemek kafa karıştırıcı hale gelebilir. Özellikle Windows Uzak Masaüstü Hizmetleri (RDS) ve Citrix Policy ile ilgili olarak, benzer işlevler iki farklı konumda yapılandırılabilir. Örneğin, bir Citrix Studio Policy içerisinde Client Drive Mapping etkinleştirilebilirken, başka bir RDS Policy’de Client Drive Mapping’i devre dışı bırakmak mümkündür. İstenen özelliği kullanma yeteneği, RDS ve Citrix ilkesinin kombinasyonuna bağlı olabilir. Citrix politikalarının Uzak Masaüstü Hizmetlerinde bulunan işlevsellik üzerine inşa edildiğini anlamak önemlidir.

Bu karışıklığı önlemek için Citrix, RDS Policy’lerinin yalnızca gerektiği yerde yapılandırılmasını önerir ve Citrix Virtual Apps and Desktops yapılandırmasında buna karşılık gelen bir politika yoktur. RDS ilkelerini yalnızca kuruluş içinde RDS kullanımı için yapılandırma gerekiyorsa yapılandırın. Policy’lerin en yüksek ortak paydada yapılandırılması, sonuçta ortaya çıkan Policy kümesini anlama ve Policy yapılandırmalarında sorun giderme sürecini basitleştirir.

Policy Kapsamı

Policy’ler oluşturulduktan sonra, ilgili Policy’leri kullanıcı, kullanıcı gruplarına veya bilgisayarlara göre uygulayabilirsiniz.. Active Directory politikaları, kullanıcı ve bilgisayar yapılandırmasına göre ikiye ayrılmıştır. Varsayılan olarak, kullanıcı yapılandırmasındaki ayarlar, oturum açma sırasında OU içinde bulunan kullanıcılar için geçerlidir. Bilgisayar yapılandırmasındaki ayarlar, sistem başlangıcında bilgisayara uygulanır ve sistemde oturum açan tüm kullanıcıları etkiler. Active Directory ve Citrix dağıtımları ile Policy ilişkilendirmesinin bir zorluğu, üç temel alan etrafında döner:

Citrix Ortamına Özgü Computer Policy

Citrix sunucuları ve sanal masaüstleri, genellikle ortam için özel olarak oluşturulan ve dağıtılan Computer Policy’lere sahiptir. Bu Policy’lerin uygulanması, sunucular ve sanal masaüstleri için ayrı OU yapıları oluşturularak kolayca gerçekleştirilir. Daha sonra belirli Policy’ler oluşturulabilir ve yalnızca OU içindeki ve altındaki bilgisayarlara güvenle uygulanabilir. Gereksinimler temelinde, OU yapısı içindeki sanal masaüstlerini ve sunucuları sunucu rollerine, coğrafi konumlara veya iş birimlerine göre bölebilirsiniz.

Citrix Ortamına Özgü User Policy

Citrix Virtual Apps and Desktops için Policy oluştururken, kullanıcının bağlantısına bağlı olarak kullanıcı deneyimi ve güvenliğine özgü birkaç Policy uygulanır. Bununla birlikte, kullanıcının hesabı Active Directory yapısı içinde herhangi bir yerde bulunabilir ve bu da kullanıcı yapılandırmasına dayalı Policy’lerin basitçe uygulanmasında zorluk yaratabilir. Ayarlar herhangi bir kullanıcının oturum açtığı her sistem için geçerli olacağından, Citrix’e özgü yapılandırmaların etki alanı düzeyinde uygulanması arzu edilmez. Citrix sunucularının veya sanal masaüstlerinin bulunduğu OU’da kullanıcı yapılandırma ayarlarının uygulanması da işe yaramaz.. Çözüm, Loopback Policy ayarını uygulamaktır.

Loopback Policy, sunucuda veya sanal masaüstünde oturum açan herhangi bir kullanıcıya OU’nun atanmış kullanıcı yapılandırma ilkesini uygulamaya zorlayan bir Computer Policy’dir. Loopback Policy, Replace ve Merge olmak üzere iki moda sahiptir. Replace modunu kullanmak, Citrix sunucusundan veya sanal masaüstü OU’dan gelen Policy ile tüm kullanıcı GPO üzerine yazar. Merge modu, Citrix sunucusundan veya masaüstü OU’dan kullanıcı GPO’sunu GPO ile birleştirir. Computer GPO’ları, Merge modu yapılandırıldığında kullanıcı GPO’larından sonra işlendiğinden, Citrix ile ilgili OU ayarları önceliğe sahiptir. Merge modunu kullanırken, bir çakışma durumunda Citrix ile ilgili OU ayarları geçerli olur.

Active Directory Policy Filter

Daha gelişmiş durumlarda, Citrix yöneticileri gibi küçük bir kullanıcı alt kümesine bir ilke ayarı uygulama ihtiyacı olabilir. Bu durumda, Loopback, sistemde oturum açan tüm kullanıcılar için değil, yalnızca bir kullanıcı alt kümesi için geçerlidir. Policy’nin uygulandığı belirli kullanıcıları veya kullanıcı gruplarını belirtmek için Active Directory Policy filtrelemesini kullanın.

Citrix Studio kullanılarak oluşturulan Citrix Policyleri, Group Policy kullanılırken kullanılamayan filtreleme durumlarını ele almak için kullanılan özel filtre ayarlarına sahiptir. Aşağıdaki filtrelerin herhangi bir kombinasyonunu kullanarak Citrix Policy’leri uygulayabilirsiniz:

Filtre Adı Filtre Tanımı Ayar
Access Control Bir istemcinin bağlandığı erişim kontrol koşullarına dayalı bir Policy uygular.Örneğin, Citrix NetScaler Gateway üzerinden bağlanan kullanıcıların belirli politikaları uygulanabilir. Kullanıcı ayarları
Client IP Oturuma bağlanmak için kullanılan kullanıcı cihazının IPv4 veya IPv6 adresine dayalı bir Policy uygular. Kullanıcı ayarları
Client Name Oturumun bağlandığı kullanıcı cihazının adına dayalı bir Policy uygular. Kullanıcı ayarları
Delivery Group Oturumu çalıştıran masaüstünün veya sunucunun Delivery Group üyeliğine dayalı bir Policy uygular. Kullanıcı ve bilgisayar ayarları
Delivery Group Type Oturumu çalıştıran makinenin türüne göre bir politika uygular. Kullanıcı ve bilgisayar ayarları
NetScaler SD-WAN Bir oturumun NetScaler SD-WAN aracılığıyla başlatılıp başlatılmadığına bağlı olarak bir Policy uygular. Kullanıcı ayarları
OU Oturumu çalıştıran masaüstünün veya sunucunun OU’suna dayalı bir Policy uygular. Kullanıcı ve bilgisayar ayarları
Tag Oturumu çalıştıran makineye uygulanan Tag’lere göre bir Policy uygular. Kullanıcı ve bilgisayar ayarları
User and Groups Oturuma bağlanan kullanıcının kullanıcı veya grup üyeliğine dayalı bir Policy uygular. Kullanıcı ayarları

Ortak Policy Unsurları

Baseline Policy olarak adlandırılan bu kısım, kuruluş içindeki çoğu kullanıcıya iyi bir kullanıcı deneyimi sunmak için gereken tüm ortak unsurları içerir. Bir ortamdaki son kullanıcı deneyimini etkili bir şekilde yönetmek ve Citrix Policy’lerini yapılandırmak için Citrix Policy şablonlarını kullanın. Citrix Policy şablonları, temel bir Policy için sağlam bir başlangıç ​​noktasıdır. Şablonlar, belirli ortamlar veya ağ koşulları için performansı optimize eden önceden yapılandırılmış ayarlardan oluşur. Citrix Virtual Apps and Desktops’ta bulunan yerleşik şablonlar aşağıdaki tabloda gösterilmektedir:

High Server Scalability: Tek bir sunucuda daha fazla kullanıcıyı barındırırken optimum bir kullanıcı deneyimi sağlamak için ayarlar içerir.

Optimized for NetScaler SD-WAN: NetScaler SD-WAN dağıtılmış olarak şubelerden çalışan kullanıcılara optimize edilmiş bir deneyim sağlamak için ayarlar içerir.

Optimized for WAN: Düşük bant genişliğine sahip veya yüksek gecikmeli bağlantılara sahip kullanıcılara optimize edilmiş bir deneyim sağlamak için ayarlar içerir.

Security and Control: Kullanıcı güvenlik ayarlarını sağlamak için ayarlar içerir.

Very High Definition User Experience: Kullanıcılara yüksek kaliteli ses, grafik ve video sağlamak için ayarlar içerir.

Temel Policy yapılandırmasına Windows ilkelerini de dahil edebilirsiniz. Windows Policy’leri, kullanıcı deneyimini optimize eden ve bir Citrix Virtual Apps and Desktops ortamında bulunmayan veya istenmeyen özellikleri kaldıran ayarları içerir. Bu ortamlarda kapatılan yaygın bir özellik Windows Update’tir. Temelde masaüstü ve sunucuların yayınlandığı ve Pooled ortamlarda, Windows Update disk ve ağ tarafında ek yük getirmektedir. Kuruluşlar, Windows Güncellemelerini kontrol etmek için genellikle WSUS yazılımını kullanır. Bu durumlarda, güncellemeler Master Image makinesine uygulanır ve BT departmanı tarafından planlı olarak kullanıma sunulur.

Önceki değerlendirmelere ek olarak, bir kuruluşun nihai temel ilkesi, kuruluşun gereksinimlerini karşılayan ayarları içerir. Bu gereksinimler güvenlikle, ortak ağ koşullarıyla veya kullanıcı cihazlarını veya kullanıcı profillerini yönetmekle ilgili olabilir.

Yönetim Delegasyonu

Politikalara erişebilecek kullanıcı sayısını sınırlandırarak yetkisiz erişimi önleyebilirsiniz. Güvenliği çok rahat bırakmak, Citrix Virtual Apps and Desktops dağıtımının yapılandırma ayrıntılarının dışarı sızmasına neden olabilir. Erişimi kısıtlama yöntemi, Policy’leri yapılandırmak için kullanılan yönteme bağlıdır. Citrix Studio kullanırken, yönetim erişimi belirlemek için gruplara gerekli rolleri atayabilirsiniz.

Hali hazırda yerleşik yönetim rollerini kullanın

Gerekli denetim düzeyini belirlemek için ilgili rollere Active Directory grupları ekleyin;

  • Full Administrator: Citrix Virtual Apps and Desktops Sitesindeki tüm nesnelere okuma ve yazma erişimi verir. “Full Administrator” rolünü atarken özel dikkat gösterin. Policy’lerin yanı sıra, “Full Administrator” rolü, Citrix yapısındaki diğer tüm nesnelere de okuma ve yazma erişimi sağlar.
  • Read Only Administrator: , bir Citrix Virtual Apps and Desktops Sitesindeki atanan kapsam dahilindeki nesneler için salt okunur izinler sağlar.

Özel bir yönetici rolü oluşturun

Policy erişim üzerinde daha ayrıntılı denetim için özel roller oluşturabilirsiniz. Özel roller, yöneticilerin bir grup yöneticiye belirli görevler atamasını sağlar. Uygun izinleri devretmek için “Manage Policies” veya “View Policies” tanımını atayın. Policy’ler belirli bir kapsamın parçası olmadığından, yöneticiye atanan kapsam, Policy’lere erişimi etkilemez.

Active Directory grup ilkelerini kullanarak Citrix ilkelerini yapılandırırken, yöneticiler, Group Policy Management kullanarak erişim yetkisi verir. Tek bir GPO, birden çok Citrix ilkesi içerebilir. Atanan izinlerin ayrıntı düzeyi, GPO yapısının tasarımına bağlıdır. Bir kullanıcıya veya gruba GPO bazında okuma veya yazma erişimi verilir. GPO düzeyinde verilen erişim, o GPO’da yapılandırılan tüm Citrix ilkelerine izinler verir.

Policy Tasarım Önerileri

  • Citrix Studio üzerinde “Unfiltered” üzerinde herhangi bir ayar yapılandırmayın ve disable olarak ayarlayınız. Mümkün olan en düşük önceliğe sahip olacak şekilde yapılandırın.
  • Policy ayarlarının ortak yönlerini belirleyiniz, mümkün olduğunca az politika oluşturunuz. Çok fazla Policy tanımlamak karmaşıklığa ve beklenmedik sonuçlara yol açabilir.
  • Active Directory ve Citrix Studio olarak Policy entegrasyon yöntemini belirleyiniz ve verilen ayarlar birbirleri ile çakışmasına izin vermeyin. Mümkün olduğunca tek bir platform tercih ediniz.
  • Değişiklikleri takip etmek için şirket içi bir dokümantasyon biçimi kullanın veya Policy açıklama alanılarını kullanın. Hatta açıklama alanını kullanırken standart bir form kullanabilirsiniz. Örneğin, 23-10-2020 : Citrix Güvenlik Ayarları vb.

Umarım sizler içinde faydalı olmuştur.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir